Как и bol-van постепенно уходим от понятия категория.
Теперь мы мыслим фильтрами и профилями.
Теперь мы мыслим фильтрами и профилями.
👍9😨2
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10🤔1
Прямой запуск как отдельная сущность теперь тоже убирается и подгонятся под пресеты внутри профилей
😢8💔4❤1
Forwarded from Блокировки Рунета | Новости
🚔 В Питере силовики оцепили площадь, на которой планировалось проведение митинга против блокировок Telegram.
Сквер на площади Ленина огорожен высоким металлическим забором и сигнальной лентой, по периметру стоят около двадцати сотрудников полиции.
Сегодня должны были пройти протесты в 28 городах. Сначала никому ничего не разрешили, теперь никого никуда не пускают.
@blokirovki_runeta
Сквер на площади Ленина огорожен высоким металлическим забором и сигнальной лентой, по периметру стоят около двадцати сотрудников полиции.
Сегодня должны были пройти протесты в 28 городах. Сначала никому ничего не разрешили, теперь никого никуда не пускают.
@blokirovki_runeta
😨11😁3👏1🤬1
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯10
zapret — the most powerful model in the world
💯11❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
🏆17❤2
Продложаем переписывание гуи теперь надо выделять бизнес логику в отдельные контроллеры
👍9
Channel name was changed to «🎂 @loop_uh | Канал для умных манулов»
Схема работы VPN-клиента (как задумано)
Нормальная цепочка прохождения трафика на мобильном устройстве:
Приложение → VpnService (Android) → tun2socks → xray SOCKS5 (localhost:10808) → VPN-сервер → интернет
VpnService — это системный механизм Android, который перехватывает весь сетевой трафик устройства и перенаправляет его в TUN-интерфейс.
Именно через него реализуется per-app split tunneling — возможность выбрать, какие приложения идут через VPN, а какие напрямую. Если приложение-шпион исключено из VPN (или находится в отдельном Knox/Shelter-пространстве), его трафик не попадает в VPN-туннель. Так задумано.
Проблема в том, что xray/sing-box создают локальный SOCKS5-прокси на localhost БЕЗ аутентификации. Это отдельный сетевой сервис, который слушает на 127.0.0.1:10808 (или похожем порту).
И вот ключевой момент: любое приложение на устройстве может подключиться к localhost напрямую, минуя VpnService. Loopback-интерфейс (127.0.0.1) не проходит через TUN-интерфейс, поэтому per-app split tunneling на него не действует.
Нормальная цепочка прохождения трафика на мобильном устройстве:
Приложение → VpnService (Android) → tun2socks → xray SOCKS5 (localhost:10808) → VPN-сервер → интернет
VpnService — это системный механизм Android, который перехватывает весь сетевой трафик устройства и перенаправляет его в TUN-интерфейс.
Именно через него реализуется per-app split tunneling — возможность выбрать, какие приложения идут через VPN, а какие напрямую. Если приложение-шпион исключено из VPN (или находится в отдельном Knox/Shelter-пространстве), его трафик не попадает в VPN-туннель. Так задумано.
Проблема в том, что xray/sing-box создают локальный SOCKS5-прокси на localhost БЕЗ аутентификации. Это отдельный сетевой сервис, который слушает на 127.0.0.1:10808 (или похожем порту).
И вот ключевой момент: любое приложение на устройстве может подключиться к localhost напрямую, минуя VpnService. Loopback-интерфейс (127.0.0.1) не проходит через TUN-интерфейс, поэтому per-app split tunneling на него не действует.
🤯16🔥3👍1
Что может сделать шпион
Шаг 1 — Просканировать порты localhost. Занимает несколько секунд, нагрузка нулевая. В методичке Минцифры уже перечислены характерные порты SOCKS (1080, 9000, 5555, 16000-16100), но даже
полный скан 65535 портов на loopback — дело секунд.
Шаг 2 — Найдя открытый SOCKS5-порт без аутентификации, подключиться к нему и отправить запрос на любой сервис, определяющий внешний IP (типа ifconfig.me).
Шаг 3 — Полученный IP — это выходной IP вашего VPN-сервера. Его передают в РКН, сервер блокируют.
Шаг 1 — Просканировать порты localhost. Занимает несколько секунд, нагрузка нулевая. В методичке Минцифры уже перечислены характерные порты SOCKS (1080, 9000, 5555, 16000-16100), но даже
полный скан 65535 портов на loopback — дело секунд.
Шаг 2 — Найдя открытый SOCKS5-порт без аутентификации, подключиться к нему и отправить запрос на любой сервис, определяющий внешний IP (типа ifconfig.me).
Шаг 3 — Полученный IP — это выходной IP вашего VPN-сервера. Его передают в РКН, сервер блокируют.
🤯27😢6❤1💔1
Почему не помогает изоляция (Knox, Shelter, Island)
Приватные пространства Android изолируют:
- Файловую систему ✅
- VpnService (отдельный VPN-профиль) ✅
- Loopback-интерфейс — НЕТ ❌
Если VPN-клиент запущен в основном профиле, а шпион — в Knox/Shelter, шпион всё равно видит localhost:10808, потому что 127.0.0.1 общий для всех пространств. Это создаёт ложное чувство безопасности.
Приватные пространства Android изолируют:
- Файловую систему ✅
- VpnService (отдельный VPN-профиль) ✅
- Loopback-интерфейс — НЕТ ❌
Если VPN-клиент запущен в основном профиле, а шпион — в Knox/Shelter, шпион всё равно видит localhost:10808, потому что 127.0.0.1 общий для всех пространств. Это создаёт ложное чувство безопасности.
🤯25😢2
Happ помимо SOCKS5 без аутентификации включает xray API с HandlerService — тоже без аутентификации. Это позволяет:
- Дампить полные конфиги xray (ключи, IP сервера, SNI)
- В сочетании с ещё одной распространённой ошибкой конфигурации — потенциально расшифровать весь трафик
- Дампить полные конфиги xray (ключи, IP сервера, SNI)
- В сочетании с ещё одной распространённой ошибкой конфигурации — потенциально расшифровать весь трафик
🤬18❤1